Por Maija Zaiceva, Identity Verification Specialist – Sales Consultant de Inverid
Muchos de vosotros estáis preocupados por el fraude de identidad generado por la inteligencia artificial (IA), como los deepfakes, los documentos de identidad falsos y otros métodos similares. Estas herramientas avanzadas, económicas y altamente escalables pueden manipular y crear imágenes, videos y documentos falsos extremadamente convincentes. La creciente dificultad en distinguir entre identidades auténticas y fraudulentas complica la verificación remota, tanto para los agentes humanos como para los sistemas de IA diseñados para detectar el fraude.
Algunos podrían pensar que la verificación de identidad por videollamada es más confiable que otros métodos, como por ejemplo una simple foto del documento de identidad acompañada con un selfie de la persona que está realizando la verificación. Creemos que ha llegado el momento de cuestionar esa confianza en la vídeo identificación. Una estrategia de fraude bastante común consiste en fallar deliberadamente la verificación biométrica para avanzar a un proceso que involucra a un operador humano, donde generalmente se obtienen altas tasas de éxito debido a falsas aceptaciones. Un buen ejemplo de cuando los estafadores tuvieron éxito gracias al fallo humano es la historia viral sobre un empleado que transfirió 25 millones de dólares después de una videollamada supuestamente con el «director financiero» de su empresa. En resumen, todos los participantes en la videollamada eran impostores, excepto el propio empleado; el único humano presente en la llamada no detectó la estafa y estaba convencido de que todos los demás se parecían y sonaban igual que sus compañeros de trabajo que él conocía.
Los medios sintéticos, como los deepfakes, se han vuelto mucho más difíciles de detectar, a la vez que son más fáciles de producir y su uso se ha generalizado. Como resultado, los sistemas operados por humanos enfrentan presiones de costes cada vez mayores debido a la necesidad de emplear examinadores de documentos de identidad cada vez más cualificados, lo que hace que la identificación por videollamadas con un agente ya no sea rentable.
Otra amenaza importante para este método de identificación son los ataques de inyección o repetición de vídeo, que consisten en el uso de secuencias de vídeo pregrabadas o manipuladas para engañar a los sistemas de verificación. Una investigación del Chaos Computer Club en 2022 documentó cómo engañar la verificación por video identificación con deepfakes utilizando hardware estándar. En conclusión, los métodos tradicionales de prevención del fraude, incluida la inspección humana, ya no son suficientes.
Entonces, si un vídeo es tan fácil de falsificar, ¿por qué tantas instituciones siguen confiando en la verificación basada en vídeo? ¿Deberíamos replantearnos nuestra forma actual de hacer las cosas?.
Cada vez más reguladores y otras instituciones se dan cuenta de que se necesitan métodos más avanzados para evitar el fraude de identidad. La verificación basada en NFC usando documentos de identidad biométricos con chip es clave para combatir la suplantación de identidad generada por la IA. Este método elimina por completo la dependencia de las imágenes del documento de identidad utilizadas en otras técnicas. En su lugar, los datos de identidad se extraen de forma segura y rápida directamente del chip del documento, lo que permite detectar cualquier manipulación del documento de identidad. Los organismos reguladores del Reino Unido ya están apostando por el uso de NFC; de hecho, en muchos escenarios se ha convertido en el único método permitido. La Guía de Buenas Prácticas 45 (Good Practice Guide 45) para la verificación de identidad y la normativa Safe Harbour del Registro de la Propiedad de Reino Unido son algunos ejemplos. También se han pronunciado la Agencia Francesa de Ciberseguridad (ANSSI) y la Oficina Federal Alemana para la Seguridad de la Información (BSI). En su informe conjunto sobre la Verificación Remota de Identidad, concluyen que «la lectura de chips es la forma más segura de obtener la información de un documento de identidad». La Autoridad Suiza de Supervisión de los Mercados Financieros FINMA aconseja escanear los chips de los documentos de identidad. Las instituciones financieras que optan por este método pueden omitir la transferencia bancaria utilizada para verificar la identidad. La autoridad equivalente de Austria fue aún más lejos al hacer obligatorio el uso de NFC y biometría a partir de 2023. Notablemente, Alemania, donde se ha confiado mucho en la verificación por vídeo hasta ahora, el nuevo proyecto de ley publicado en abril de 2024 propone que las entidades financieras tengan que ofrecer opciones alternativas a la verificación por vídeo. Y, por último, el 12 de marzo de 2024, la Agencia de Ciberseguridad de la Unión Europea, ENISA, publicó un informe sobre buenas prácticas para la verificación remota de identidades. En este informe, se mencionan dos enfoques recomendados para la verificación de documentos, uno de los cuales es la lectura y verificación del chip mediante tecnología NFC.
A medida que navegamos por el cambiante panorama del fraude y el papel que está desempeñando la IA generativa, dar prioridad a métodos sólidos y seguros como la autenticación de documentos de identidad basada en NFC se vuelve crucial para protegerse frente a amenazas cada vez más sofisticadas y para garantizar la integridad de los procesos de identificación remota. Sin embargo, no todos los gobiernos han adoptado este enfoque todavía. De hecho, hay algunos países que no reconocen el uso de NFC como un medio válido para la verificación de identidad remota, privando a sus ciudadanos de una forma segura de realizar la verificación de identidad a distancia.
Desafortunadamente, España es uno de estos países. El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) aún no ha autorizado la verificación de identidad basada en NFC para la identificación remota en el sector financiero. En su lugar, siguen confiando en la video identificación, tanto asistida como no asistida, que se autorizó en 2016 y 2017, respectivamente. Han pasado ocho años desde entonces y la tecnología ha avanzado considerablemente. El SEPBLAC debería reevaluar su postura sobre los medios permitidos para la verificación de identidad a distancia. De hecho, el organismo introdujo algunos cambios en 2023 cuando invalidó un método que permitía a las entidades financieras intercambiar datos de titularidad de cuentas a través del sistema SNCE, gestionado por la Sociedad Española de Sistemas de Pago, S.A. (Iberpay). Este método fue revocado porque no cumplía con las directrices de la Autoridad Bancaria Europea (ABE) en materia de identificación no presencial de clientes. Esperemos que el SEPBLAC también siga el ejemplo de la mayoría de los países europeos, tenga en cuenta las recomendaciones de los organismos europeos, incluida la ABE y la Agencia de Ciberseguridad de la Unión Europea (ENISA), y revise su postura sobre la verificación de identidad basada en NFC. Todos los ciudadanos europeos deberían tener el derecho de utilizar un sistema de verificación de identidad seguro y respetuoso con la privacidad para combatir el fraude de identidad.
Ningún banco debería conformarse con menos. Al elegir verificación basada en NFC, las instituciones financieras están optando por la tecnología más segura y resistente, una tecnología que utiliza un enfoque determinista en lugar de probabilístico. No hay justificación válida para que ningún banco haga concesiones en este aspecto, incluso si los legisladores no siguen el ritmo de la aparición de nuevos tipos de ataques en la materia de verificación de identidad.